O que aciona um arquivo Trojan para ser executado depois de baixado para a sua máquina?

Postei uma pergunta anteriormente sobre alguns Trojans (eles parecem relacionados ao Java) que foram encontrados e excluídos da minha máquina por uma verificação recente.

Mas o que não sei é se esses cavalos de Troia realmente foram executados.

Quando você baixa um arquivo executável comum em sua máquina, como o notepad.exe, é necessário clicar duas vezes no programa para que ele seja executado.

Mas no caso de um Trojan, qual é o mecanismo de acionamento que faz com que o Trojan seja executado?

As duas principais maneiras pelas quais um trojan é acionado são:

1. O 'código de Trojan' é inserido em outro programa e executa uma tarefa na qual o programa host é executado.

2. O cavalo de Troia substitui um arquivo legítimo no seu computador e executa sua tarefa atribuída quando o programa 'fake' é executado ou quando o programa 'fake' é chamado por outro programa ou processo.

Os cavalos de Troia podem permanecer inativos no seu sistema e só serão acionados quando ocorrer um evento específico, como os descritos acima.

No caso de um trojan cliente / servidor, o cliente inicial (a parte que infectou o seu PC) fará contato com um componente do servidor, geralmente por meio de uma solicitação oculta do IRC. Quando isso acontece, o servidor geralmente substitui o cliente inicial por outro código de Trojan e, nesse ponto, seu PC pode ser completamente controlado a partir do servidor.

Os cavalos de Troia podem ser entregues ao seu PC executando inadvertidamente algum miniaplicativo infectado do lado do servidor ou podem ser 'descartados' no seu PC através de um banner infectado ou de algum outro componente da web inócuo.

Geralmente, classificamos um ataque bem-sucedido em dois componentes, inspirados na terminologia militar: a Carga útil, que, quando executada no alvo, desencadeia os efeitos maliciosos (ocultando, transformando seu host em um zumbi, etc ...) e o Vector, que é encarregado de executar a carga útil. Então, você está perguntando que tipo de vetores de ataque existe?

Em seu sentido histórico, um cavalo de Tróia confia no usuário final como um vetor. Antes da disseminação da conectividade de rede, geralmente significava que você era enganado a executar diretamente o que você pensaria ser um programa útil ou um jogo interessante.

Existem outras maneiras pelas quais o código pode ser executado com a assistência do usuário; por exemplo, houve alguns casos de vulnerabilidades no conteúdo que exibia bibliotecas, como pdf, jpeg ou renderizadores em flash. Se você tiver o programa vulnerável instalado, basta tentar exibir o conteúdo tóxico. Você pode ser infectado simplesmente quando o navegador tenta exibir um .jpg na página que você visita; um .jpg malicioso pode conter dados inválidos que atingem um bug na biblioteca de exibição e talvez acabem executando o conteúdo.

Nesse caso, mesmo que você não tenha clicado no programa malicioso, ele está sendo executado sem o conhecimento do programa que chama a biblioteca vulnerável (aqui, seu navegador).

Infelizmente, não podemos limitar o número de vetores possíveis; sempre que seu sistema processa automaticamente o conteúdo de uma fonte não confiável, existe o risco de uma vulnerabilidade ser explorada. Contra isso, sua melhor aposta é provavelmente prestar atenção às atualizações de segurança e praticar a defesa em profundidade (como executar programas do dia-a-dia com privilégios restritos, etc ...)

Mesma coisa. Geralmente, parece um jogo ou algum tipo de ferramenta interessante, que incita o usuário a executá-lo.

Geralmente, os trojans são inseridos a partir de certos arquivos, mesmo nas imagens. Nesse caso, o cavalo de Troia está mirando especificamente as falhas na capacidade do sistema de exibir imagens.